[SOLVED] NAT через OpenVPN, пропрос портов для apache не срабатывает :(

Здравствуйте.

Немного рано радовался.. :(
в предыдущем своем топике пытался дать интернет через опенвпн.. получилось.. счас хотелось бы пробросить несколько портов по Nat.
думал все просто должно быть, но как то не вышло ... не пойму почему ...

комп в датацентре:

eth0 - WAN_IP, 86.57.246.6
tap0 - OPENVPN_IP, 10.10.0.1

комп в офисе.

tap0 - OPENVPN_IP, 10.10.0.4
ppp0 - adsl dynamic ip
eth0 - связь с адсл модемом, 192.168.151.2
eth1 - в локальную сеть, 192.168.150.248

на компьютере в датацентре след. цепочки в iptables (пишу сразу нат, который для интернета делал.. может как нибудь влияет)

# MyPorts
$iptables -t nat -A PREROUTING -d 86.57.246.6 -p tcp -m tcp --dport 5890 -j DNAT --to-destination 10.10.0.4:5890
$iptables -t nat -A PREROUTING -d 86.57.246.6 -p udp -m udp --dport 5890 -j DNAT --to-destination 10.10.0.4:5890
$iptables -t nat -A PREROUTING -d 86.57.246.6 -p tcp -m tcp --dport 5891 -j DNAT --to-destination 10.10.0.4:5891
$iptables -t nat -A PREROUTING -d 86.57.246.6 -p udp -m udp --dport 5891 -j DNAT --to-destination 10.10.0.4:5891

# Nat for OpenVPN
$iptables -t nat -A POSTROUTING -s 10.10.0.4 -j SNAT --to-source 86.57.246.6

#
$iptables -A FORWARD -i $INET_DEV -o $VPN_DEV -j ACCEPT
$iptables -A FORWARD -i $VPN_DEV -o $INET_DEV -j ACCEPT

$iptables -A INPUT -s 0/0 -p tcp --dport 5890 -j ACCEPT
$iptables -A INPUT -s 0/0 -p udp --dport 5890 -j ACCEPT
$iptables -A INPUT -s 0/0 -p tcp --dport 5891 -j ACCEPT
$iptables -A INPUT -s 0/0 -p udp --dport 5891 -j ACCEPT

на компьютере офиса в iptables:

$iptables -A INPUT -s 0/0 -p tcp --dport 5890 -j ACCEPT
$iptables -A INPUT -s 0/0 -p udp --dport 5890 -j ACCEPT
$iptables -A INPUT -s 0/0 -p tcp --dport 5891 -j ACCEPT
$iptables -A INPUT -s 0/0 -p udp --dport 5891 -j ACCEPT

на компьютере офиса в apache2 в httpd.conf

Listen 10.10.0.4:5890
Listen 10.10.0.4:5891

Перезапускаю iptables (на обоих) и apache2.

С компьютера датацентра выполняю:

# nmap 10.10.0.4 -p 5890-5891

Starting Nmap 4.62 ( http://nmap.org ) at 2010-06-22 11:37 EEST
Interesting ports on 10.10.0.4:
PORT     STATE SERVICE
5890/tcp open  unknown
5891/tcp open  unknown

# nmap 86.57.246.6 -p 5890-5891

Starting Nmap 4.62 ( http://nmap.org ) at 2010-06-22 11:37 EEST
Interesting ports on 86.57.246.6:
PORT     STATE SERVICE
5890/tcp closed unknown
5891/tcp closed unknown

т.е. вроде как проброс не срабатывает.
пробовал на компе офиса менять вместо VPN ип (10.10.0.4), ставить ип интерфейса, который смотрит в лок. сеть - 192.168.151.248, результат тот же.. пробовал на сервере комментарить строки в ип таблес, где разрешаем в таблице INPUT пакеты для портов 5890 и 5891, ничего не изменилось..

Может у кого есть идеи?..

Спасибо